誤解された「量子覇権」 2030年まであなたは慌てる必要はありません

現在、「暗号学関連の量子コンピュータ（CRQC）」がいつ登場するかについて、市場の予測はしばしば過激すぎて誇張されているため、人々は即時かつ全面的にポスト量子暗号に移行すべきだと叫んでいる。

しかし、これらの呼びかけは、早すぎる移行のコストとリスクを無視している場合が多く、また、異なる暗号原語間のリスク特性の違いも見落としている。

• ポスト量子暗号（Post-quantum encryption）は、コストは高いものの、直ちに展開する必要がある： 「先に傍受し、後に解読する」（HNDL）攻撃は既に発生している。今日暗号化された敏感なデータは、何十年も経て量子コンピュータが登場したとしても価値を維持できる可能性がある。ポスト量子暗号の実装はパフォーマンスのオーバーヘッドと実行リスクを伴うが、HNDL攻撃に直面している場合、長期的に秘密を保持する必要があるデータには他の選択肢はない。
• ポスト量子署名（Post-quantum signatures）は、全く異なる計算ロジックに直面している： それらはHNDL攻撃の影響を受けない。さらに、ポスト量子署名のコストとリスク（サイズ増大、性能低下、技術の未成熟さ、潜在的なバグ）は、慎重な移行戦略を取る必要性を決定づける。

これらの違いを明確に理解することが非常に重要だ。誤解はコスト・便益分析を歪め、現在直面している最も致命的なセキュリティリスク—たとえばコードのバグ—を見落とさせる可能性がある。

ポスト量子暗号への移行において、真の課題は、緊急性と実際の脅威を適切にマッチさせることにある。以下では、暗号化、署名、ゼロ知識証明（特にブロックチェーンへの影響）に関する一般的な誤解を解き明かす。

我々は量子の脅威からどれだけ遠いのか？

外部では騒ぎ立てられているものの、2020年代に「暗号学関連の量子コンピュータ（CRQC）」が登場する可能性は極めて低い。

私が言う「CRQC」とは、誤り訂正を備えた耐性のある量子コンピュータであり、合理的な時間内にShorアルゴリズムを動作させて楕円曲線暗号やRSA（例：secp256k1やRSA-2048を最大1か月以内に解読可能）を攻撃できる規模のものを指す。

公的なマイルストーンや資源評価の合理的な読み解きから、こうした機械を作り出すにはまだ遠い距離にあると判断できる。いくつかの企業が2030年や2035年までにCRQCが登場する可能性を主張しているが、現時点で公に知られている進展はこれらの見積もりを裏付けていない。

客観的に見れば、現在の技術アーキテクチャ—イオントラップ、超伝導量子ビット、中性原子システム—のいずれも、Shorアルゴリズムの実行に必要な数十万から数百万の物理量子ビット（誤り率やエラー訂正スキームに依存）に近づいていない。

制約要因は単に量子ビットの数だけでなく、ゲートの忠実度（Gate Fidelity）、量子ビット間の接続性、そして長い深さの量子アルゴリズムを実行するための持続的エラー訂正回路の深さも含まれる。現在、一部のシステムは1000を超える物理量子ビットを持つが、単なる数の多さだけでは誤解を招く：これらのシステムは暗号学的計算に必要な接続性や忠実度を欠いている。

最近のシステムは物理的誤り率が量子誤り訂正の閾値に近づきつつあるが、持続的な誤り訂正回路の深さを持つ論理量子ビットを数個以上示した例はなく、実際にShorアルゴリズムを動かすために必要な数千の高忠実度・深い回路・誤り耐性の論理量子ビットには遠く及ばない。 「理論上の量子誤り訂正の実現」から、「暗号解析に必要な規模への到達」までには、依然として大きなギャップが存在する。

要するに：量子ビットの数と忠実度の両方が数桁向上しなければ、CRQCはまだ遠い未来の話だ。

しかし、人々は企業のPRやメディア報道に惑わされやすい。ここにいくつかの誤解の元を挙げる。

• 「量子優位性」を謳うデモ： これらは現在、意図的に設計されたタスクに対して行われている。これらのタスクは実用性のためではなく、既存ハードウェア上で動作し、巨大な量子加速を示すために選ばれていることが多く、アナウンスでは隠されがちだ。
• 数千の物理量子ビットを持つと主張する企業： これは通常、量子アニーラー（Quantum Annealer）を指し、Shorアルゴリズムの門モデルマシンを示すものではない。
• 「論理量子ビット」という用語の濫用： 量子アルゴリズム（例：Shor）には数千の安定した論理量子ビットが必要だ。量子誤り訂正を使えば、多くの物理量子ビットから一つの論理量子ビットを実現できるが、普通は数百から数千の物理量子ビットを要する。しかし、一部の企業はこの用語を乱用し、例えば「各論理量子ビットに物理量子ビット2つだけで48の論理量子ビットを実現した」と主張している。これは誤った低冗長性コードであり、誤りを検出できても訂正できない。実際のパスワード解析において誤り耐性のある論理量子ビットは、各々に数百から数千の物理量子ビットを必要とする。
• 定義の操作： 多くのロードマップでは、「論理量子ビット」をClifford操作だけをサポートする量子ビットと定義している。これらの操作は古典計算機で効率的にシミュレート可能であり、Shorアルゴリズムの実行には到底足りない。

たとえあるロードマップで「X年までに数千の論理量子ビットを実現」と謳っていても、その企業がその年にShorを使って古典暗号を解読できると予測しているわけではない。

これらのマーケティングは、一般の（そして一部の経験豊富な観察者も含む）人々の量子脅威の近さに対する認識を歪めている。

それでも、一部の専門家は進展に対して興奮している。スコット・アーロンソンは最近、「ハードウェアの進展速度を考慮すれば、次の米国大統領選前に耐性のある量子コンピュータがShorを動かすことは可能だ」と述べたが、これはCRQCが脅威となることと同義ではないと明言している。たとえ誤り訂正環境下で15 = 3 × 5を分解できたとしても、「予言が成功した」とみなされる。これはRSA-2048の解読には全く比べ物にならない。

実際、これまでの「15の分解」実験は簡略化された回路を用いており、完全な誤り耐性付きShorアルゴリズムではない。21の分解もまた、追加のヒントやショートカットを必要としている。

要するに、今後5年以内にRSA-2048やsecp256k1を解読できる量子コンピュータを作り出せるという公的な進展は皆無に等しい。

十年以内も、非常に楽観的な予測だ。

米国政府は、2035年前に政府システムのポスト量子移行を完了させることを目標としているが、これはあくまで移行計画のスケジュールであり、その時点でCRQCが登場する予測ではない。